Wirus jamy ustnej jest stosunkowo rzadkim rodzajem wirusa, który kopiuje się w nieużywane miejsca w plikach, rozprzestrzeniając się w ten sposób bez wpływu na rozmiar pliku, który infekuje. Czasami są one również nazywane wirusami „wypełniającymi przestrzeń”. Wiele plików ma puste miejsca, które są zwykle ignorowane podczas wykonywania pliku, którego są częścią. Obecność tych przestrzeni nie stanowi problemu – o ile oczywiście nie są zainfekowane wirusem.
Ponieważ rozmiar pliku nie jest zmieniany, nie można stwierdzić, czy plik został zmieniony wyłącznie przez sprawdzanie jego właściwości – zamiast tego musiałbyś porównać go z poprzednią, niezainfekowaną wersją Jasne. Wypełniacze kosmiczne istnieją od 1998 roku i są dość trudne do wykrycia. W dniach Windows 95/98 pojawiło się kilka bardzo udanych fal wirusów.
Jak to działa?
Aby zainfekować pliki, wypełniacz przestrzeni musi najpierw znaleźć plik, który zawiera puste miejsce. Musi więc wyszukać puste miejsca. Kiedy znajdzie gdzieś puste miejsce w pliku, skopiuje się, wypełniając miejsce bez powiększania pliku. Utrudnia to wykrycie przez programy antywirusowe.
Tak długo, jak wirus będzie znajdował wystarczająco duże przestrzenie, w które będzie mógł się skopiować, będzie to robił — jeśli nie znajdzie nigdzie lub już zainfekował wszystkie możliwe opcje, może pozostać bezczynny do momentu uruchomienia lub po prostu kontynuować skanowanie do momentu znalezienia nowego, odpowiedniego dla niego pliku pojawia się. W związku z tym zużywa moc obliczeniową w tle, co może spowolnić inne rzeczy.
Technika ta opiera się na prymitywnych technikach antywirusowych, które niemal wyłącznie wyszukują sygnatury znanych wirusów. Infekując istniejący plik, wynikowa zainfekowana sygnatura jest unikalna dla kombinacji pliku i wirusa.
Prawdziwy przykład
W 1998 roku wirus o nazwie CIH zademonstrował tę funkcjonalność. Został nazwany Czarnobylem, ponieważ jego ładunek został przypadkowo ustawiony na uruchomienie w dniu katastrofy w Czarnobylu ponad dekadę wcześniej. Wirus celował w luki w plikach Portable Execution lub PE. Podzielił swój kod, aby zgrabnie pasował do tych luk i wstawił tabelę na górze pliku, aby śledzić lokalizacje swojego kodu, aby mógł działać poprawnie.
CIH nadpisałby wtedy zerami pierwszy megabajt pamięci. To generalnie zniszczyło tablicę partycji lub główny rekord rozruchowy. Utrata tego sprawia, że wygląda na to, że cały dysk został wyczyszczony. Dane udało się jednak odzyskać. Wirus próbowałby również wyczyścić układ BIOS. Udało się to tylko na niektórych urządzeniach, a na innych nie. W przypadku urządzeń z wyczyszczonym układem BIOS układ wymagał przeprogramowania lub wymiany. Inną alternatywą było zdobycie nowego komputera.
W sumie szacuje się, że wirus CIH spowodował szkody w wysokości 1 miliarda USD i zainfekował 60 milionów komputerów na całym świecie. Wirus został napisany przez Chén Yíngháo, studenta Uniwersytetu Tatung na Tajwanie. Chén twierdził, że wirus został napisany jako wyzwanie przeciwko zbyt śmiałym twierdzeniom twórców oprogramowania antywirusowego o wydajności. Został następnie wydany przez kolegów z klasy, choć nie jest jasne, czy było to celowe, czy przypadkowe. Chén przeprosił uniwersytet i opublikował program antywirusowy dla CIH. Nigdy nie wniesiono żadnych zarzutów, ponieważ w tamtym czasie na Tajwanie nie było przepisów dotyczących przestępstw komputerowych i żadna ofiara nie wystąpiła z pozwem.
Zapobieganie
Zapobieganie wirusom ubytków lub wypełniaczy przestrzeni najlepiej polega na minimalizowaniu ryzyka narażenia. Dobrym krokiem jest upewnienie się, że wszystkie pobierane lub instalowane programy i pliki pochodzą z oficjalnego, godnego zaufania źródła. W przeszłości programy antywirusowe miały trudności z wykrywaniem wirusów jamy ustnej. Nowoczesne techniki antywirusowe są jednak znacznie bardziej zaawansowane. Nadal ważne jest, aby program antywirusowy był aktualny i zawierał najnowsze sygnatury wirusów, aby ułatwić wykrywanie i usuwanie znanych wirusów.
Ten typ wirusa nie jest już tak naprawdę widziany. Techniki antywirusowe znacznie się rozwinęły, co znacznie ułatwia wykrywanie tego rodzaju rzeczy. Ponadto twórcy wirusów przyjęli jeszcze bardziej kreatywne metody unikania oprogramowania antywirusowego.
Wniosek
Wirus jamy, znany również jako wirus wypełniający przestrzeń, to rodzaj złośliwego oprogramowania, które ukrywa się w lukach w innych plikach. Ta technika naprawdę utrudnia wykrycie za pomocą podstawowych kontroli podpisów plików. Unika także dostosowywania rozmiaru zainfekowanego pliku, co jeszcze bardziej utrudnia jego wykrycie. Najbardziej znany przykład, CIH, wykorzystał tę technikę z doskonałym skutkiem. Podzielił swój kod na tyle luk, ile potrzebował, i umieścił tabelę na górze pliku, aby śledzić lokalizację swojego kodu. Nowoczesne techniki antywirusowe są w stanie zidentyfikować tego rodzaju wirusy, więc nie są one powszechnie stosowane.